Nei giorni scorsi la società produttrice del famoso plugin WordPress WPML ha dovuto far fronte a diverse difficoltà dopo che molti dei suoi clienti hanno ricevuto un’email dove li si avvertiva di “una serie di falle di sicurezza” nel codice del plugin.
Nel messaggio si affermava che tali vulnerabilità siano state sfruttate per compromettere due siti del mittente dell’email, cercando di indurre gli utenti a pensare che anche altri siti Web che utilizzano il plug-in potrebbero essere a rischio di violazione. Ma come il creatore del plugin ha scritto poco dopo, questa email di avvertimento distribuita massivamente non era stata autorizzata e celava intenti ingannevoli.
Lo sviluppatore di WPML Amir Helzer ha affermato: “Molti dei nostri clienti hanno ricevuto email preoccupanti su un exploit nel plugin WPML. Questa email è stata inviata da un intruso che è entrato nel nostro sito e ha utilizzato il nostro server mail. Ovviamente, quel messaggio non è stato inviato da noi. Se hai ricevuto tale email, cancellala “.
“I nostri dati mostrano che l’hacker ha utilizzato informazioni interne (una vecchia password SSH) e un canale che ha deciso di lasciare appositamente aperto per sé mentre era ancora nostro dipendente. Questo hack non è stato fatto tramite un exploit in WordPress, WPML o un altro plugin, ma usando queste informazioni interne “, ha scritto Helzer, suggerendo un caso di “nemico all’interno”.
In altre parole, l’incidente è stato facilitato da una backdoor che l’ex dipendente ha inserito nel sito prima di lasciare l’azienda. La violazione ha quindi comportato la cancellazione del sito Web, del plugin e la pubblicazione di un blog con lo stesso avviso presente nel messaggio di posta elettronica.
Secondo il post di Helzer, gli sviluppatori di WPML hanno “aggiornato wpml.org, ricostruito tutto e reinstallato tutto”, oltre a fornire un accesso protetto all’interfaccia di amministrazione con autenticazione a due fattori (2FA). Helzer ha anche sottolineato che il plugin in sé non era vulnerabile, così come le informazioni sui pagamenti dei clienti non erano state compromesse, dal momento che la società non le memorizza.
Detto questo, ha notato che l’intruso ha utilizzato i nomi di alcuni clienti e i loro indirizzi email e quindi potrebbe anche avere accesso ai loro account WPML.
Considerando questi fatti, si consiglia a tutti gli utenti del plugin – ideato per la creazione di siti Web multilingue basati su WordPress – di reimpostare le loro password su wpml.org, nonché su altri siti dove potrebbero utilizzare le stesse credenziali di accesso. Attualmente i siti che utilizzando questo strumento sono circa 600000.
Lascia un commento